Web Uygulaması, Active Directory ve Dış Ağ Pentest Bulguları

1. Web Uygulamalarında En Sık Görülen Güvenlik Açıkları

Web uygulamaları, kurumların dış dünyaya açılan yüzü olduğu için saldırganlar tarafından en fazla hedeflenen katmanların başında geliyor. 2025 itibarıyla yapılan web uygulaması sızma testlerinde en sık karşılaşılan bulgular şu başlıklarda toplanıyor:

1.1. Zayıf Kimlik Doğrulama

• Tahmin edilebilir kullanıcı adı–parola kombinasyonları,
• Brute force ve parola deneme saldırılarına karşı hız limiti ve CAPTCHA eksikliği,
• Oturum açma denemelerinde MFA (çok faktörlü kimlik doğrulama) zorunluluğunun olmaması.

Bu zafiyetler, özellikle VPN, yönetim panelleri ve müşteri portalları üzerinde kritik sonuçlar doğurabiliyor.

1.2. Eksik Erişim Kontrolleri (Authorization Bypass)

Kullanıcıların, yetkileri dışında veri ve fonksiyonlara erişebilmesi; en kritik web uygulaması bulgularından biri.

• Normal kullanıcıların yönetici (admin) fonksiyonlarına erişebilmesi,
• URL veya parametre manipülasyonu ile başka kullanıcıların verilerinin görüntülenebilmesi,
• Rol bazlı erişim kontrolü (RBAC) tasarım hataları.

1.3. SQL Injection ve NoSQL Injection Riskleri

SQL Injection ve NoSQL Injection zafiyetleri, web uygulaması pentestlerinde hâlâ en kritik bulgular arasında yer alıyor. Sonuçları:

• Veritabanından toplu veri sızdırma,
• Kullanıcı oturumlarının ele geçirilmesi,
• Uygulama sunucusu üzerinde komut çalıştırma (RCE) zincirlerinin oluşması.

1.4. XSS (Cross-Site Scripting)

Yansıtılmış (Reflected) ve kalıcı (Stored) XSS zafiyetleri, özellikle oturum çalma, phishing ve sosyal mühendislik saldırılarında sıklıkla kullanılıyor.

• Kullanıcı oturum bilgilerinin çalınması,
• İmza yetkisi olan kullanıcılar adına sahte işlem yapılması,
• Tarayıcı üzerinde zararlı script’lerin çalıştırılması.

1.5. Dosya Yükleme Güvenlik Riskleri

Dosya yükleme alanlarında yapılan tipik hatalar:

• Dosya uzantı ve içerik kontrolünün yalnızca istemci tarafında (client-side) yapılması,
• Sunucu tarafında MIME/type doğrulamasının olmaması,
• Yüklenen dosyaların web kök dizini içinde saklanması.

Bu hatalar, saldırganın sunucuya web shell yüklemesine ve uzaktan komut çalıştırmasına kadar gidebilen ciddi riskler doğurur.

1.6. API Güvenliği Sorunları

Mobil ve web uygulamalarının arka planında çalışan API katmanında sık görülen bulgular:

• API anahtarlarının açıkta kalması,
• Kimlik doğrulama ve yetkilendirme kontrollerinin zayıf olması,
• Gereksiz detaylı hata mesajları ile iç mimarinin ifşa olması.

2. Active Directory Ortamında En Sık Tespit Edilen Zafiyetler

Active Directory, kurumsal ağların kimlik doğrulama ve yetkilendirme merkezi olduğu için saldırganlar açısından “en değerli hedef” konumundadır. AD ele geçirilmişse, pratikte şirketin tamamı ele geçirilmiş sayılır.

2.1. Zayıf Kullanıcı Parolaları

AD parola politikası yeterince sıkı değilse, hâlen aşağıdaki örneklere rastlanabiliyor:

• 123456, Password1!, FirmaAdı2023 gibi kolay tahmin edilebilir parolalar,
• Hesap kilitleme politikalarının zayıf veya devre dışı olması,
• Aynı parolanın birden fazla kritik hesapta kullanılması.

2.2. Kerberoasting Zafiyeti

Servis hesaplarının zayıf parola ile yapılandırılması durumunda saldırganlar;

• Kerberos biletlerini (ticket) çekip offline parola kırma (cracking) işlemi yapabiliyor,
• Servis hesabı parolasını ele geçirerek sunucu ve uygulamalara kalıcı erişim sağlayabiliyor.

2.3. Yetki Yükseltme Açıklıkları

Yanlış gruplandırmalar ve rol tasarımları; Domain Admin yetkilerinin dolaylı olarak erişilebilir hale gelmesine yol açabiliyor.

• Yerel admin haklarının gereğinden fazla kullanıcıda bulunması,
• “Tier” mantığı olmaksızın aynı hesapla hem uç nokta hem sunucu yönetiminin yapılması,
• Eski, kullanılmayan ama hâlâ yüksek yetkili hesapların aktif kalması.

2.4. SMB İmza Zorunluluğunun Kapalı Olması

SMB trafiğinde imza zorunluluğu yoksa; man-in-the-middle saldırıları ile trafiğin manipüle edilmesi, kimlik bilgisi ele geçirme senaryoları devreye girebiliyor.

2.5. Aşırı Yetkili Servis Hesapları

Normalde sadece belirli uygulama veya servislere erişmesi gereken hesaplar, yanlış yapılandırma nedeniyle:

• Domain genelinde okuma / yazma yetkisine,
• Dosya sunucularında tam yetkiye,
• Yedekleme veya izleme sistemlerine tam kontrol erişimine

sahip olabiliyor. Bu da saldırgan için yanal hareket (lateral movement) aşamasını kolaylaştırıyor.

2.6. Güncellenmemiş Domain Controller Sunucuları

Eski Windows Server sürümleri üzerinde:

• Uzak kod çalıştırma (RCE) açıklıkları,
• Yetki yükseltme zafiyetleri,
• LDAP/LDAPS tarafında sertifika ve şifreleme problemleri

sıkça görülüyor. Bu da fidye yazılımı kampanyaları için ideal bir zemin oluşturuyor.

2.7. UPN Yanlış Yapılandırmaları ve Açık LDAP

Yanlış yapılandırılmış UPN (User Principal Name) ve dışarıya açık LDAP servisleri:

• Dışarıdan kullanıcı bilgisi toplanmasına (user enumeration),
• Sosyal mühendislik saldırıları için hedef listesi çıkarılmasına,
• İleride kullanılacak brute force saldırılarının hazırlanmasına

zemin hazırlayabiliyor.

3. Dış Ağ Pentest Bulguları: Saldırganların İlk Giriş Kapısı

Dış ağ (external) sızma testleri, internete açık sistemlerin ve servislerin güvenlik seviyesini ölçmek için yürütülen çalışmalardır. Türkiye’deki birçok kurumda hâlâ benzer bulgulara rastlanıyor.

3.1. Güncellenmemiş Firewall, VPN veya Güvenlik Cihazları

Fortinet, Ivanti, SonicWall, Cisco, Palo Alto vb. üreticilere ait cihazlarda;

• Uzaktan kod çalıştırma (RCE) açıkları,
• Kimlik doğrulama atlatma (auth bypass),
• Konfigürasyon sızıntısı (config leak) zafiyetleri

güncel yamalar uygulanmadığında kritik risk oluşturmaya devam ediyor.

3.2. Açık Portlar ve Gereksiz Servisler

Gereksiz servislerin internete açık bırakılması, saldırganlar için keşif aşamasını son derece kolay hale getiriyor.

• Kullanılmayan RDP, SSH veya eski yönetim panelleri,
• Demo ortamları, test uygulamaları, unutulmuş alt domain’ler,
• Varsayılan kimlik bilgileri ile çalışan network cihazları.

3.3. Eski Sürüm Web Server veya Mail Server Teknolojileri

Apache, Nginx, IIS, Exchange ve benzeri servislerin eski sürümleri;

• Önceden bilinen ve istismar kodu (exploit) hazır olan CVE’lere,
• Kimlik doğrulama atlatma ve bilgi ifşası açıklıklarına,
• DoS veya RCE zafiyetlerine

açık olabiliyor. Bu da dış ağ pentest bulgularında sıkça karşımıza çıkıyor.

3.4. DNS Yanlış Konfigürasyonları

DNS tarafındaki hatalar; saldırganların kurum içi mimariyi ve alt domain’leri keşfetmesini kolaylaştırıyor.

• Zone transfer’e izin veren DNS yapılandırmaları,
• Gereksiz TXT veya debug kayıtları,
• DNS alt domain brute force’a elverişli, öngörülebilir isimlendirmeler.

3.5. Zayıf TLS/SSL Konfigürasyonları

Eski protokoller (TLS 1.0 / 1.1), zayıf şifre takımları (cipher suites) ve hatalı sertifika zincirleri; şifreli trafiğin korunmasını zorlaştırıyor ve bazı senaryolarda trafik dinleme veya manipülasyon riskini artırıyor.

3.6. VPN Hesaplarında MFA Eksikliği

2025 yılında bile birçok kurumda VPN erişimi sadece kullanıcı adı–parola ile sınırlandırılmış durumda. Oysa VPN; saldırgan açısından iç ağa açılan ana kapı konumunda.

• MFA zorunluluğu olmayan VPN hesapları,
• Eski çalışanlara ait kapatılmamış kullanıcılar,
• Tek bir ortak hesap üzerinden paylaşılan VPN erişimleri

dış ağ pentestlerinde sık görülen ve genellikle kritik seviye ile sınıflandırılan bulgulardır.

4. Web Uygulaması + AD + Dış Ağ Açıkları Birleştiğinde Ne Olur?

Son yıllardaki saldırı kampanyalarının önemli bir bölümü, tek bir zafiyet üzerinden değil, zincirleme güvenlik açıkları kullanılarak gerçekleştiriliyor. Tipik bir senaryo şu şekilde ilerleyebiliyor:

1. Web uygulamasında XSS veya SQL Injection bulunur.
   Saldırgan, öncelikle standart keşif araçlarıyla web uygulamasında açıklık taraması yapar ve oturum çalma ya da veritabanına erişim sağlayan bir açık bulur.
2. İlk kullanıcı oturumu ele geçirilir.
   Ele geçirilen oturumla, kullanıcı paneline veya yönetim ekranlarına yetkisiz erişim sağlanır.
3. Bu oturumla VPN veya iç portal erişimi elde edilir.
   Kullanıcının VPN hesabı veya tek oturum açma (SSO) yetkisi varsa, saldırgan iç ağa sıçrar.
4. Active Directory üzerinde zayıf parolalar keşfedilir.
   Password spray, Kerberoasting ve benzeri tekniklerle yüksek yetkili hesapların bilgileri ele geçirilebilir.
5. Dış ağdaki güncellenmemiş VPN cihazı üzerinden kalıcı erişim sağlanır.
   Cihaz konfigürasyonları ve kullanıcı listeleri çekilerek kalıcılık (persistence) mekanizmaları oluşturulur.
6. Saldırgan artık şirket ağında tam yetkiyle dolaşabilir.
   Bu aşamadan sonra veri sızıntısı (data exfiltration) ve fidye yazılımı senaryoları neredeyse kaçınılmaz hale gelir.

Bu tablo, web uygulaması, AD ve dış ağ pentest bulgularının neden birlikte ele alınması gerektiğini açıkça gösteriyor. Her bir zafiyet türü tek başına kritik olabilir; ancak asıl yıkıcı etki, bu açıkların saldırı zincirinde birleştirilmesi ile ortaya çıkar.

5. Yöneticiler İçin En Kritik Mesaj: Bu Bulgular Erken Uyarıdır

Pentest raporlarındaki bulgular, sadece teknik ekiplerin takip etmesi gereken maddeler değildir. Her bir bulgu, kurumun veri güvenliği, iş sürekliliği ve itibarı açısından doğrudan anlam taşıyan bir erken uyarı sinyalidir.

Özellikle yönetici seviyesinde görülmesi gereken büyük resim şudur:

Bu nedenle bulguların değerlendirilmesi sürecinde:

• “Teknik ekip ilgilensin” yaklaşımı yerine, kurumsal risk yönetimi perspektifi benimsenmeli,
• Yüksek kritiklikteki bulgular risk komitesi ve üst yönetim gündemine taşınmalı,
• İyileştirme aksiyonları için bütçe, insan kaynağı ve takvim net olarak ayrılmalıdır.

6. Kurumların Alması Gereken Önlemler (2025 Önerileri)

2025 yılı itibarıyla Türkiye’de faaliyet gösteren kurumlar için web uygulaması, Active Directory ve dış ağ güvenliği özelinde uygulanması gereken temel önlemler aşağıdaki gibi özetlenebilir.

6.1. Web Uygulamaları İçin Öneriler

• Güvenli kod geliştirme eğitimleri: Yazılım ekipleri için düzenli secure coding ve OWASP eğitimleri,
• WAF (Web Application Firewall) devreye alınması: Uygun kural setleriyle birlikte web uygulamalarının önüne konumlandırılması,
• SAST/DAST araçları: Kaynak kod (SAST) ve dinamik uygulama taramaları (DAST) ile devamlı zafiyet taraması,
• API güvenliği: API gateway kullanımı, rate limiting, token bazlı kimlik doğrulama, loglama ve izleme mekanizmalarının kurulması.

6.2. Active Directory İçin Öneriler

• Parola politikalarının sıkılaştırılması: Karmaşık parola zorunluluğu, tekrar kullanımın engellenmesi, parola süresi ve lockout politikalarının güncellenmesi,
• MFA zorunluluğu: Kritik hesaplar (Domain Admin, sunucu admin, VPN, e-posta vb.) için MFA’nın standart hale getirilmesi,
• Domain Controller güncellemeleri: Güvenlik yamalarının düzenli takibi ve hızlı uygulanması,
• Fazla yetkili servis hesaplarının sadeleştirilmesi: Servis hesapları için least privilege yaklaşımının benimsenmesi ve parolalarının periyodik değiştirilmesi.

6.3. Dış Ağ İçin Öneriler

• VPN ve güvenlik cihazlarının güncellenmesi: Kritik CVE’lerin takip edilmesi ve yama yönetim sürecinin otomatize edilmesi,
• Gereksiz portların kapatılması: İnternete açık servislerin minimize edilmesi, sadece iş kritik servislerin erişime bırakılması,
• Firewall kural seti gözden geçirme: Yılda en az bir kez kapsamlı kural seti review çalışması yapılması,
• Düzenli dış ağ ve iç ağ pentestleri: Yılda en az bir kez kapsamlı, risk odaklı sızma testleri ve takip eden römediasyon denetimleri.

7. Sonuç: Kurumsal Siber Güvenlik Bir Bütünlük İşidir

Web uygulamaları, Active Directory ve dış ağ zafiyetleri ayrı ayrı ele alındığında dahi kritik görünür; ancak gerçek risk, bu yapıların bir araya gelmesi ile ortaya çıkar.

2025 yılında etkili bir kurumsal siber güvenlik stratejisi oluşturmak için:

• Sadece tekil zafiyetlere değil, saldırı zincirine odaklanmak,
• Web, AD ve dış ağ katmanlarını birlikte ele alan bütünleşik pentest ve denetim modeli kurmak,
• Doğru yapılandırma, güncel altyapı ve güçlü siber farkındalık kültürünü aynı anda inşa etmek

kritik önem taşıyor. Doğru yapılandırılmış teknik önlemler, iyi tasarlanmış süreçler ve düzenli testlerle desteklenen bir siber dayanıklılık programı, kurumların bu tehditlere karşı en güçlü savunma hattıdır.

8. Sık Sorulan Sorular